notes.exe revient toujours!!

notes.exe revient toujours!! - Sécurité - Windows & Software

Marsh Posté le 16-03-2005 à 19:07:03    

Bonjour.
Mon gestionnaire des taches se bloque ainsi qu'un peu tout les utilitaires windows comme ajout/suppression de programmes, gestionnaire de périphérique.
Ceci est du à un virus qui apparemment est "Backdoor.Win32.Rbot.gen"
selon le scan en ligne f-secure.
Je ne trouve pas d'outil pour supprimer automatiquement.
 
Manuellement j'ai essayé:
-Fin de tache pour notes.exe (mon gestionnaire de tache fonctionne pendant 2,3minutes au démarrage alors vite vite..)
-Suppression de c:\Windows\System32\notes.exe
-"Regedit" puis rechercher notes.exe et supprimer toutes ses clés
 
Mais rien n'y fait,cette saloperie revient toujours.
 
Quelqu'un saurait m'aider?
Y a t'il d'autre processus invisibles?
Merci.

Reply

Marsh Posté le 16-03-2005 à 19:07:03   

Reply

Marsh Posté le 16-03-2005 à 19:32:13    

redscreen a écrit :

Bonjour.
Mon gestionnaire des taches se bloque ainsi qu'un peu tout les utilitaires windows comme ajout/suppression de programmes, gestionnaire de périphérique.
Ceci est du à un virus qui apparemment est "Backdoor.Win32.Rbot.gen"
selon le scan en ligne f-secure.
Je ne trouve pas d'outil pour supprimer automatiquement.
 
Manuellement j'ai essayé:
-Fin de tache pour notes.exe (mon gestionnaire de tache fonctionne pendant 2,3minutes au démarrage alors vite vite..)
-Suppression de c:\Windows\System32\notes.exe
-"Regedit" puis rechercher notes.exe et supprimer toutes ses clés
 
Mais rien n'y fait,cette saloperie revient toujours.
 
Quelqu'un saurait m'aider?
Y a t'il d'autre processus invisibles?
Merci.


 
Va voir ICI si ça peut t'aider


Message édité par pow-wow le 16-03-2005 à 19:32:45
Reply

Marsh Posté le 16-03-2005 à 22:50:22    

Merci.
Mais malheureusement ça ne peut pas m'aider, rien ne correspond.
Les nom de fichier,les clés registre:aucune identiques.
Pourtant f-secure m'indique bien ce virus.
 
Voici un log HijackThis mais je sais pas comment ça marche.
Si quelqu'un y voit quelque chose d'anormal:
 
Logfile of HijackThis v1.99.1
Scan saved at 22:44:50, on 16/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Creative\SbLive\AudioHQ\AHQTBU.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\notes.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SbLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SbLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Reply

Marsh Posté le 17-03-2005 à 07:51:51    

tu redemarre windows en mode sans échec (touche F8 avant le demarrage de windows)
tu lances hijackthis  
tu coches les lignes suivantes :  
 
 
O4 - HKLM\..\Run: [notes] notes.exe  
O4 - HKLM\..\RunServices: [notes] notes.exe  
 
et tu cliques sur fixchecked
 
ensuite tu supprimes le fichier (toujours en mode sans échec)
C:\WINDOWS\System32\notes.exe
 
et normalement tu devrai plus en entendre parler.
 
Sinon tu peux aussi cocher ceci au démarrage :  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE  
 
ca sert a rien


Message édité par gatsusat le 17-03-2005 à 07:52:43
Reply

Marsh Posté le 17-03-2005 à 18:17:18    

Merci.
Voila c'est fait..
Mais cette saloperie revient quand même au bout de 5 minute de connection?
Grrr

Reply

Marsh Posté le 17-03-2005 à 18:29:06    

conseil : SP2 + firewall

Reply

Marsh Posté le 17-03-2005 à 18:34:47    

Oui je vais de voir m'y mettre,j'espere que je n'aurai pas trop de bugs, un petite question, le firewall de windows?
Faudra que j'apprenne a configurer tout ça car j'utilise edonkey.
Et zonealarm par exemple n'est pas du tout compatible.
Merci.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed